In der Nacht vom Freitag auf Samstag habe ich den Betreiber von niiu.de auf eine eklatante Sicherheitslücke aufmerksam gemacht, die Kundendaten und Zeitungs-Printausgaben offen im Netz zugänglich machte. Nachdem nun drei Tage vergangen sind, an dieser Stelle noch eine kurze Auswertung zu den Reaktionen:
Reaktion der Presse
Golem und Heise haben die Geschichte bereits nach wenigen Stunden aufgegriffen. Heise hat eine recht knappe Story ohne Quellenangabe gebracht, Golem hat etwas mehr Hintergrund geliefert. Von beiden Magazinen haben sich Redakteure vorab gemeldet und noch eine Unklarheiten geprüft.
Den technisch versiertesten Bericht hat Markus Beckedahl von netzpolitik.org verfasst. Er hat ohne Rückfrage das Thema noch einmal recherchiert und heute noch einmal auf die Reaktion von niiu hin (siehe weiter unten) einen Kommentar verfasst. Gute Arbeit.
Auf Radio Eins lief wohl ein kurzer Bericht in der Sendung “Escape“.
Reaktion niiu
niiu hat die Meldung ernst genommen und verstanden, sich nicht über die Publikation der Lücke zu beschweren, die auch von allen Seiten ohne zu viele Details erfolgte, sondern bereits am Samstag mit einer Schließung der Lücke beschäftigt. Klargestellt wurde, dass PDFs nur für Kunden erstellt wurden, die diese Funktion auch aktiviert hatten – nicht für alle. Momentan besteht die Schließung der Lücke lediglich aus einem abgeschalteten ePaper-Modul, also einem Fehlen der PDF-Dateien, was natürlich ausreicht.
Ein wenig enttäuscht hat die heute veröffentlichte öffentliche Stellungnahme von niiu, in der es heißt:
Als angemeldeter Kunde war es mit einem technischen Aufwand möglich, zusammengestellte niiu-ePaper anderer Kunden einzusehen.
Wir möchten ausdrücklich darauf hinweisen, dass dritte Personen, die kein Benutzerkonto bei niiu haben, zu keinem Zeitpunkt auf niiu-ePaper anderer Kunden zugreifen konnten!
Quelle: niiu.de
Das ist – mit oder ohne Ausrufezeichen – nicht richtig. Wie berichtet, lagen die Daten “offen” im Netz, das heißt, sie waren von jedermann runterladbar, der nur eine PDF-URL kannte und ausgehend von dieser beliebig durchiterieren konnte, um an alle anderen Dokumente zu gelangen. niiu scheint hier davon auszugehen, dass die Tatsache, dass eine URL zunächst nur für eingeloggte Nutzer sichtbar ist, sie damit zur Geheimsache mache, denn
Nach unserem derzeitigen Kenntnisstand ist es ohne ein eigenes Benutzerkonto nicht möglich gewesen, an den Download-Link eines niiu-ePapers zu gelangen.
Quelle: niiu.de
Es ist richtig, dass der direkte Download-Link zu einer ePaper-PDF nicht öffentlich, also auch für Nicht-Kunden, auf der Seite stand, jedoch konnte dieser per E-Mail, ungesichertem Wlan oder diversen anderen Wegen an die Öffentlichkeit gelangen.
Mein niiu-Probeabonnement läuft übrigens morgen aus und wird erst einmal nicht verlängert.